规则性能可视化

规则性能可视化围绕 QRadar 管道中的性能降级和昂贵的定制规则扩展了当前日志记录。 使用规则性能可视化，您可以直接从规则页面轻松确定 QRadar 管道中规则的效率。

开启规则性能可视化后，性能列会添加到规则页面。 在定制规则引擎中出现性能问题之前，性能列为空白。

将事件或流路由到存储器时， QRadar 将开始收集有关已启用的效率度量规则的度量值。 将会对所有的事件规则、公共规则和流规则收集指标。 您保存规则更新时，就会清除所更新规则的指标，以避免出现任何有关性能和所更新规则的混淆。 此选项可由管理员配置。

可以按性能指标对规则进行排序，确定成本较高的规则。 复查规则时，您可调整测试以优化每个规则，并降低系统上的负载。

利用规则性能可视化，您可以了解规则的成本。 QRadar 操作团队可以监视任何昂贵的规则，并确保它们不会导致将来的性能问题。

通过高效率地运行规则，可以降低系统上的工作负载。 随着时间的推移，此效率可帮助 QRadar 避免围绕规则的任何性能下降，这会导致规则绕过规则关联。 没有规则关联，潜在的可疑活动就可能不会触发通知，从而可能遗漏未来的安全相关问题。

有关调整规则的详细信息，请参阅 IBM® QRadar® 调整指南。

查看规则的指标

您可从“规则”页面查看规则度量，只需将鼠标指针移至绩效列的彩色条形上即可在绩效分析文本框中查看其度量，该文本框位于“规则”页面的右下角。 您还可以在编辑规则时从规则向导中查看规则的指标。 性能分析文本框中的时间戳记显示了规则指标的更新时间。 有关创建规则的更多信息，请参阅 规则 主题。

在网络活动选项卡或日志活动选项卡中，单击规则以显示“规则”页面。 双击规则即可打开规则向导。

规则页面上“性能”列中的颜色和条形

显示的条形数是为色盲人士提供的视觉辅助。

一个红色条形

该规则的性能欠佳，需要调整。 该规则的 EPS/FPS 吞吐量低于下限。 请打开该规则并调整测试。

两个橙色条形

该规则可能需要一些调整。

三个绿色条形

该规则的吞吐量高于 EPS/FPS 阈值上限。

注: 不能更改条形的颜色和数量。 性能欠佳规则的定义可由管理员配置。

下图显示了 QRadar 中的缺省定制规则设置。

有关调整规则的更多信息，请参阅 定制规则测试顺序。